AWS安全研究记录(上) - 教学文档<\/h1>

1. AWS基础概念<\/h2>

1.1 云计算服务模型<\/h3>

IaaS (基础设施即服务)<\/strong><\/p>

提供基础计算资源(服务器、存储、网络)<\/li>
用户需自行安装操作系统、中间件和应用程序<\/li>
类比：提供地皮和建筑材料，用户自行建造房屋<\/li> <\/ul> <\/li>

PaaS (平台即服务)<\/strong><\/p>

提供开发平台和工具<\/li>
用户只需关注应用开发，无需管理底层基础设施<\/li>
类比：提供建好的毛坯房，用户只需装修<\/li> <\/ul> <\/li>

SaaS (软件即服务)<\/strong><\/p>

提供完整的应用软件<\/li>
用户直接使用，无需关心开发和维护<\/li>
类比：提供精装房，用户可直接入住<\/li> <\/ul> <\/li> <\/ul>
1.2 AWS环境搭建<\/h3>

注册AWS账户<\/p>

建议使用虚拟信用卡<\/li>
选择海外区域(非中国区)，避免国内限制<\/li> <\/ul> <\/li>

登录AWS控制台<\/p>

首次登录会看到大量服务图标<\/li>
可通过右上角搜索框查找服务<\/li> <\/ul> <\/li>

交互方式<\/p>

Web控制台<\/li>
AWS CLI(命令行界面)<\/li>
AWS SDK(编程接口)<\/li> <\/ul> <\/li> <\/ol>
2. AWS身份与访问管理(IAM)<\/h2>
2.1 IAM核心概念<\/h3>

用户组(IAM User Groups)<\/strong><\/p>

IAM用户的集合<\/li>
用于批量管理用户权限<\/li> <\/ul> <\/li>

用户(IAM Users)<\/strong><\/p>

具有长期凭证的身份<\/li>
用于与AWS账户交互<\/li> <\/ul> <\/li>

角色(IAM Roles)<\/strong><\/p>

具有特定权限的临时身份<\/li>
凭证有效期短<\/li>
可被信任的实体承担<\/li> <\/ul> <\/li>

策略(Policies)<\/strong><\/p>

定义权限的JSON文档<\/li>
可附加到用户、组或角色<\/li> <\/ul> <\/li> <\/ul>
2.2 IAM用户凭证类型<\/h3>

控制台登录密码<\/li>
访问密钥(Access Key, AK\/SK)<\/li>
Amazon Bedrock API密钥<\/li>
AWS CodeCommit SSH公钥<\/li>
AWS CodeCommit HTTPS Git凭证<\/li>
其他凭证类型<\/li> <\/ol>
2.3 IAM权限策略示例<\/h3>
管理员策略(AdministratorAccess)：<\/p>
{ <\/span><\/span> "Version"<\/span>: "2012-10-17"<\/span>, <\/span><\/span> "Statement"<\/span>: [ <\/span><\/span> { <\/span><\/span> "Effect"<\/span>: "Allow"<\/span>, <\/span><\/span> "Action"<\/span>: "*"<\/span>, <\/span><\/span> "Resource"<\/span>: "*"<\/span> <\/span><\/span> } <\/span><\/span> ] <\/span><\/span>} <\/span><\/span><\/code><\/pre>EC2完全访问策略(AmazonEC2FullAccess)：<\/p> { <\/span><\/span> "Version"<\/span>: "2012-10-17"<\/span>, <\/span><\/span> "Statement"<\/span>: [ <\/span><\/span> { <\/span><\/span> "Effect"<\/span>: "Allow"<\/span>, <\/span><\/span> "Action"<\/span>: "ec2:*"<\/span>, <\/span><\/span> "Resource"<\/span>: "*"<\/span> <\/span><\/span> }, <\/span><\/span> { <\/span><\/span> "Effect"<\/span>: "Allow"<\/span>, <\/span><\/span> "Action"<\/span>: "elasticloadbalancing:*"<\/span>, <\/span><\/span> "Resource"<\/span>: "*"<\/span> <\/span><\/span> }, <\/span><\/span> \/\/ 其他相关权限... <\/span><\/span><\/span><\/span> ] <\/span><\/span>} <\/span><\/span><\/code><\/pre>3. AWS核心服务安全<\/h2> 3.1 CloudTrail服务<\/h3> 功能<\/strong>：记录AWS账户活动(API调用、资源变更等)<\/p> <\/li> 特点<\/strong>：<\/p> 默认记录90天内的活动<\/li> 可配置将日志长期存储到S3<\/li> 日志延迟约3-5分钟<\/li> <\/ul> <\/li> 安全风险<\/strong>：<\/p> 攻击者可能停止或删除CloudTrail日志<\/li> 绕过方法：使用未记录的API<\/li> 具备管理员权限后直接停止服务<\/li> <\/ul> <\/li> <\/ul> <\/li> 检测规则示例<\/strong>：<\/p> event.action:StopLogging AND event.outcome:success <\/code><\/pre> <\/li> <\/ul> 3.2 S3服务(Simple Storage Service)<\/h3> 安全风险<\/strong>：<\/p> 存储桶公开访问权限配置错误<\/li> 域名劫持风险(释放后重新注册相同名称的存储桶)<\/li> 供应链攻击(劫持更新源)<\/li> <\/ul> <\/li> 攻击案例<\/strong>：<\/p> 劫持企业代码仓中的JS文件更新源<\/li> 劫持iOS\/macOS应用更新源<\/li> 劫持SSLVPN客户端更新路径<\/li> 接管防病毒与安全设备更新源<\/li> 替换虚拟化与部署模板<\/li> <\/ul> <\/li> 防御建议<\/strong>：<\/p> 启用"屏蔽公共访问权限"设置<\/li> 谨慎管理存储桶生命周期<\/li> 监控异常访问模式<\/li> <\/ul> <\/li> <\/ul> 3.3 EC2服务(Elastic Compute Cloud)<\/h3> 安全风险<\/strong>：<\/p> SSRF攻击获取元数据服务(IMDS)中的临时凭证<\/li> 旧版IMDSv1易受攻击<\/li> <\/ul> <\/li> 防御措施<\/strong>：<\/p> 使用IMDSv2(需要PUT请求获取令牌)<\/li> 监控来自服务器的非法外部调用<\/li> <\/ul> <\/li> 检测规则<\/strong>：<\/p> 监控IAM临时凭证在非预期位置的使用<\/li> <\/ul> <\/li> <\/ul> 3.4 Lambda服务<\/h3> 特点<\/strong>：<\/p> 无服务器计算服务<\/li> 可配置执行角色(IAM身份)<\/li> 自动触发执行<\/li> <\/ul> <\/li> 安全风险<\/strong>：<\/p> 代码漏洞可能导致安全问题<\/li> 可能影响CI\/CD流程<\/li> 被滥用作为C2基础设施<\/li> <\/ul> <\/li> <\/ul> 4. AWS攻击手法<\/h2> 4.1 凭证泄露<\/h3> 常见泄露位置<\/strong>：<\/p> 前端JS代码硬编码<\/li> GitHub\/GitLab等代码托管平台<\/li> Web与云交互的功能点(报错信息)<\/li> CI\/CD工具日志<\/li> 本地计算环境(AWS CLI配置)<\/li> 客户端安装包\/小程序硬编码<\/li> 调试页面(如phpinfo)<\/li> <\/ol> <\/li> 空间测绘示例<\/strong>：<\/p> 查询phpinfo<\/code>泄露：约1000个独立IP<\/li> 直接查询AK\/SK泄露：约39,059条记录<\/li> <\/ul> <\/li> <\/ul> 4.2 IAM权限提升<\/h3> 常见提权方法<\/strong>：<\/p> iam:CreateAccessKey<\/code> - 为管理员创建访问密钥<\/li> iam:CreateLoginProfile<\/code> - 为管理员创建登录密码<\/li> iam:AttachUserPolicy<\/code> - 附加管理员策略给自己<\/li> iam:PassRole<\/code> + 特定服务执行权限 - 传递管理员角色给服务<\/li> <\/ol> <\/li> 防御建议<\/strong>：<\/p> 遵循最小权限原则<\/li> 定期审计IAM策略<\/li> 监控异常权限变更<\/li> <\/ul> <\/li> <\/ul> 5. 攻击模拟与评估<\/h2> 5.1 MITRE ATT&CK Cloud Matrix<\/h3> Initial Access<\/strong>：<\/p> 利用面向公众的应用程序<\/li> 钓鱼攻击<\/li> 使用合法账户<\/li> <\/ul> <\/li> Execution<\/strong>：<\/p> 通过API执行命令<\/li> 通过CLI执行命令<\/li> <\/ul> <\/li> Persistence<\/strong>：<\/p> 创建IAM用户<\/li> 创建后门角色<\/li> <\/ul> <\/li> 其他战术<\/strong>：<\/p> 权限提升<\/li> 防御规避<\/li> 凭证访问<\/li> 发现<\/li> 横向移动<\/li> 收集<\/li> 数据渗出<\/li> 影响<\/li> <\/ul> <\/li> <\/ul> 5.2 紫队攻击模拟工具(stratus-red-team)<\/h3> 使用流程<\/strong>：<\/p> 准备资源：stratus warmup <TECHNIQUE_ID><\/code><\/li> 执行攻击：stratus detonate <TECHNIQUE_ID><\/code><\/li> 清理资源：stratus revert <TECHNIQUE_ID><\/code><\/li> <\/ol> <\/li> 示例命令<\/strong>：<\/p> # 查看AWS相关战术<\/span> <\/span><\/span>stratus list --platform aws <\/span><\/span> <\/span><\/span># 指定战术阶段<\/span> <\/span><\/span>stratus list --mitre-attack-tactic persistence <\/span><\/span> <\/span><\/span># 模拟攻击<\/span> <\/span><\/span>stratus warmup aws.persistence.create-user <\/span><\/span>stratus detonate aws.persistence.create-user <\/span><\/span>stratus revert aws.persistence.create-user <\/span><\/span><\/code><\/pre><\/li> <\/ul> 6. 防御检测工程<\/h2> 关键点<\/strong>：<\/p> 深入理解攻击技术原理<\/li> 分析大量日志区分正常与异常<\/li> 持续跟踪TTPs演变<\/li> <\/ul> <\/li> 挑战<\/strong>：<\/p> 攻击技术不断进化<\/li> 防御规则需要持续更新<\/li> 合法与非法活动难以区分<\/li> <\/ul> <\/li> <\/ul> 7. 总结与建议<\/h2> 学习建议<\/strong>：<\/p> 持续研究AWS官方文档<\/li> 实践攻击模拟工具<\/li> 参与安全社区交流<\/li> <\/ul> <\/li> 防御最佳实践<\/strong>：<\/p> 启用多因素认证(MFA)<\/li> 遵循最小权限原则<\/li> 启用CloudTrail并监控关键事件<\/li> 定期审计IAM配置<\/li> 使用IMDSv2替代IMDSv1<\/li> 谨慎配置S3存储桶权限<\/li> 监控异常API调用模式<\/li> <\/ol> <\/li> <\/ul> 8. 参考资源<\/h2> AWS IAM官方文档<\/li> MITRE ATT&CK Cloud Matrix<\/li> stratus-red-team工具<\/li> AWS安全博客(Wiz, BishopFox等)<\/li> 云安全研究社区(Hacking the Cloud等)<\/li> SSRF绕过技术指南(PortSwigger)<\/li> <\/ul>